Seguridad Computacional para empresa XYZ
Enviado por Cristian Fajardo • 13 de Septiembre de 2018 • Ensayo • 1.943 Palabras (8 Páginas) • 263 Visitas
Proyecto final
Cristian Fajardo Ponce
Seguridad computacional
Instituto IACC
21 de enero de 2018
Seguridad Computacional para empresa XYZ
Situación:
- La empresa cuenta con tres oficinas físicamente separadas y distantes varios kilómetros una de la otra dentro de la Región Metropolitana. La casa matriz está en Santiago Centro y allí se desarrollan las actividades Comerciales de la empresa; la planta de Producción se encuentra en Maipú, mientras que el área de Investigación y Desarrollo se ubica en el sector de Quilicura, en las afueras de la capital.
- Las oficinas de Santiago Centro y Maipú cuentan con comunicación en forma directa a Internet por medio de sendos enlaces dedicados contratados a un solo ISP. Cualquiera de las dos secciones que necesite comunicarse con la oficina de Quilicura, debe hacerlo vía mensajero en moto, fax o correo electrónico.
- Los planes de la empresa son redistribuir el personal de la organización para que haya grupos de trabajo de cada sección descrita anteriormente (Comercial, Producción e Investigación y Desarrollo) en cada una de las locaciones a fin de lograr mayor homogeneidad en el funcionamiento interno de cada oficina y sección.
- A pesar de que hubo intentos en el pasado, no se ha logrado establecer una comunicación rápida y segura del tipo digital entre las tres locaciones, dado que los anteriores asesores no podían garantizar la confidencialidad e integridad de la información que circulara entre las tres secciones.
Dado el avance en equipamiento y sistemas de protección de la información actuales, ha llegado la hora de implementar una red con todas las condiciones de seguridad necesarias para que la empresa desarrolle sus labores en forma integrada y con el mínimo de riesgos de intrusión y pérdida o filtración de su información.
Enlace de interconexión
Para la conexión entre las diferentes sucursales, se deben contratar idealmente enlaces de datos dedicados con algún proveedor ISP, idealmente con respaldos de cada uno de estos y 1:1 para garantizar anchos de bandas coherentes con la cantidad de tráfico que se necesita para cada sucursal. Los enlaces dedicados conectarán a cada una de las oficinas, pero la salida a internet será centralizada, para poder garantizar un control y correcta administración de este recurso.
Físicamente, todos los usuarios y dispositivos, compartirán el mismo medio físico de la red, pero se realizará una segmentación de la red a través de VLAN’s que se extenderán incluso entre las oficinas, aunque no estén físicamente en el mismo lugar. A priori, existirán VLANs para administrativos, operadores, finanzas, atención de clientes, visitas y administración de servicios. Con lo anterior, quiere decir que si en las tres sucursales existen áreas de operación, existirá una única VLAN de operadores, que se “verán” entre sí, a pesar de la distancia geográfica que puedan tener y de igual manera podrían compartir algunos recursos.
Perímetro de red
En el ítem anterior, se establece que a pesar de que cada sucursal cuenta con un enlace dedicado, en el que perfectamente se podría haber indicado que cada uno tuviera salida a internet de manera independiente, se hace necesario centralizar esta conexión con el mundo “exterior” para poder tener un mayor control de los flujos que van hacia la WAN y de los cuales podrían entrar hacia la LAN.
Los perímetros propios de la red (o redes) están establecidos por sus router. En el caso de las sucursales, cada uno tiene un router que la delimita físicamente, pero que se extiende lógicamente por los enlaces, pero en el global, existe un router core que delimita la LAN de la empresa XYZ con “Internet”.
Para el filtrado del tráfico entre la LAN y la WAN, existirá un Firewall que administrará los que paquetes entrantes y salientes de un lugar a otro, de manera tal de determinar el tráfico que realmente se está esperando en ambos sentidos y de cierta manera autentificar a los usuarios de la red. Utilizando el mismo firewall, podremos determinar una DMZ para algunos servicios que serán prestados hacia la WAN.
En términos de redes inalámbricas, que hoy son una real necesidad, será necesario establecer mecanismos de autentificación según se requiera al tipo de red a extender a inalámbrica. Por ejemplo, la complejidad de autentificación para las “visitas” puede ser menor que para la wifi extendida de la red de investigación y desarrollo.
Confidencialidad de la información
Se manifiesta que el área de Investigación y desarrollo puede ser una de las más críticas en el manejo de su información y lo confidencial de esta, por lo que se hace necesario poder otorgar algunos mecanismos más específicos sobre este segmento de la red.
- IDS: Implementar un sistema de detección de intrusos sobre este segmento de red, para identificar algunas anomalías o la posible acción de usuarios no autorizados sobre esta red y que puedan estar tratando de quebrantar la confidencialidad de la información que se mueve sobre esta.
- Hardening: El endurecimiento a los sistemas involucrados en esta área pueden ser aplicados de alguna manera. De manera preventiva, se puede establecer políticas de acceso a los usuarios y determinar exclusividad de acceso solo aquel necesario. También, se pueden establecer herramientas para tener “control del cambio” sobre los archivos y el contenido de este. De manera reactiva, se pueden establecer herramientas a utilizar en caso de “catástrofes”, como por ejemplo, herramientas que permitan la recuperación de la información de manera íntegra en caso de pérdida.
Adicional a lo anteriormente mencionado y casi como un supuesto a cualquier implementación a sistemas que manejan información y el almacenamiento de este, se debe contar con mecanismos de respaldo, que pueden variar su periocidad según la necesidad que se requiera. A su vez, ver mecanismos de respaldo “en vivo” mientras se genera la información, como sistemas de almacenamiento “espejo”.
...